Vastaamon tietomurto ja massiivinen kiristysoperaatio alkoi ratketa, kun kiristäjä teki olennaisen virheen verkkopalvelimellaan. Tietoturva-asiantuntijat kävivät Huomenta Suomessa läpi, mitä tarkalleen tapahtui.
Lokakuussa 2020 pimeään Tor-verkkoon ja avoimen verkon keskustelupalsta Ylilaudalle ilmestyi viesti, jossa nimimerkki ”ransom_man” ilmoitti hakkeroineensa psykoterapiakeskus Vastaamon tietokannan ja vuotaneensa sadan Vastaamon asiakkaan henkilökohtaiset tiedot kaikkien katseltaviksi.
Kiristäjä kertoi toimineensa näin, sillä Vastaamo ei ollut suostunut maksamaan lunnasrahoja yrityksen palvelimilta anastetuista tiedoista. Viestissä uhattiin julkaista uusien ihmisten tietoja joka päivä, kunnes lunnaat maksetaan.
Seuraavana päivänä kiristäjä ryhtyikin toteuttamaan uhkaustaan ja julkaisi taas uusia potilastietoja.
Sitten hän teki ratkaisevan virheen.
– Kiristäjä vuoti kahden päivän ajan näitä tietoja käsin ja sen jälkeen hän automatisoi tämän – että tästä eteenpäin joka päivä aamuyöstä tulee sata uutta potilastietoa. Hän kirjoitti pienen ohjelmanpätkän, yhden komentorivin, tietoturvayhtiö WithSecuren tutkimusjohtaja Mikko Hyppönen kertasi Huomenta Suomessa.
"Ihan kultakaivos"
Kiristäjän tarkoituksena oli siis ladata joka päivä verkkoon vain pieni osa hallussaan olevasta materiaalista kerrallaan.
Tätä varten laaditussa komennossa oli kuitenkin ohjelmointivirhe.
– Mistä seurasi se, että kun sen piti ottaa tiedostoja hakemistosta, jossa on vain potilastietoja, se ottikin ne väärästä hakemistosta, joka oli tämän palvelimen pääkäyttäjän tunnus, eli siis kiristäjän oma tunnus, mistä löytyy hänen omia tietojaan, Hyppönen selittää.
Virheen takia kiristäjältä lipsahti verkkoon suuri määrä sellaista tietoa, jota hän ei olisi sinne halunnut.
Mukana oli muun muassa tietoja siitä, mitä kiristäjä oli palvelimella aiemmin puuhaillut.
– Tämän on ihan kultakaivos tutkinnan kannalta. Jos tätä ei olisi tapahtunut, me ei luultavasti oltaisi tässä, Hyppönen sanoo.
– Valtaosa verkkorikosten tekijöistä ei jää koskaan kiinni. On hyvin poikkeuksellista, että on näin suuret määrät todistusaineistoa, hän jatkaa.
Katso myös: Virnuilevan Julius Kivimäen uusin kirjatemppu tallentui kameralle – asianajaja joutui puuttumaan
Miksi kiristäjä teki virheen?
Tietoturva-asiantuntija Petteri Järvinen arvelee, että kiristäjän kardinaalivirheelle voi löytyä inhimillinen selitys: poliisitutkinnan perusteella kiristäjä oli usein aktiivisimmillaan yöaikaan.
– On helppo kuvitella, että kun ihminen yöllä tällaisia puuhailee, kukaan ei ole täysin skarppina ja voi tapahtua pieniä virheitä, Järvinen arvioi.
Järvisen mukaan kiristäjä jätti itsestään runsaasti myös muita jälkiä.
– Hänhän on monessa muussakin sitten myöhemmin toiminut aika varomattomasti, että näitä jälkiä on jäänyt yllättävän paljon eri paikkoihin, Järvinen sanoo.
– Se voi olla jonkinlaista huolimattomuutta tai ihan väsymystä tai ajattelemattomuutta. Tai sitten voi olla ajatus, että olen voittamaton, eikä minua saa kukaan kiinni, hän jatkaa.
Myös kiristäjällä onnea matkassa
Vaikka kiristäjän palvelinkomennossa tekemä virhe oli poliisille onnenpotku, myös kiristäjällä itsellään oli onnea matkassa.
Kun kiristyksessä käytetyn palvelimen kotihakemisto alkoi kiristäjän tietämättä valua Tor-verkkoon, sattuma puuttui jälleen peliin. Palvelimen tallennustila loppui kesken, eikä koko palvelimen sisältö ennättänyt tulla julkiseksi.
– Siinähän kävi myös valtava tuuri hänellä itsellään. Jos tämä tar-komento olisi mennyt loppuun asti, hänet olisi voitu pidättää jo samana päivänä, mutta sieltä levyltä loppui tila, Järvinen sanoo.
– Siihen ei mahtunut kuin vain hänen hakemistonsa alku, joka sitten antoi jonkin verran vinkkejä poliisille, mutta ei kuitenkaan koko matskua. Eli molemmat olivat siinä onnekkaita, hän jatkaa.
Vielä kiristäjän henkilöllisyys ei ole kuitenkaan varmistunut.
Viranomaisten mukaan kiristäjä oli parikymppinen Julius Aleksanteri Kivimäki. KRP:n ja syyttäjien mukaan Kivimäki on pystytty kytkemään rikoksiin monin eri tavoin.
0:23
Syyttäjät vaativat miehelle seitsemän vuoden vankeusrangaistusta kymmenistä tuhansista yksittäisistä rikoksista Länsi-Uudenmaan käräjäoikeudessa.
Kivimäki on itse puolestaan kiistänyt syyllisyytensä jyrkästi. Hänen mukaansa tietomurron ja kiristykset teki joku muu.
Puolustuksen mukaan Kivimäki kyllä oli yksi henkilöistä, joilla oli pääsy kiristyksessä käytetylle palvelimelle. Puolustuksen mukaan viranomaiset eivät ole silti löytäneet mitään näyttöä siitä, että kiristäjä oli juuri Kivimäki. Palvelimella oli muitakin käyttäjiä, eli puolustuksen näkemyksen mukaan muita mahdollisia syyllisiä.
Tietomurtovyyhtiin liittyvä oikeudenkäynti alkoi aiemmin tässä kuussa. Juttu on laaja, ja istuntopäiviä on varattu ensi vuodelle saakka. Oikeus antaa asiassa ratkaisun myöhemmin.
Mitä mieltä tietoturva-asiantuntijat ovat viranomaisten hankkimasta näytöstä Julius Aleksanteri Kivimäkeä vastaan? Riittääkö näyttö tuomioon? Katso koko keskustelu artikkelin yllä olevalta videolta.